Um den Netzwerkverkehr zu überwachen, beispielsweise durch Analyse des Online-Verhaltens von Nutzern, Überwachung von ungewöhnlichem Datenverkehr und Überwachung von Netzwerkanwendungen, ist es notwendig, den Netzwerkverkehr zu erfassen. Die bloße Erfassung des Netzwerkverkehrs kann jedoch ungenau sein. Daher ist es erforderlich, den aktuellen Netzwerkverkehr zu kopieren und an das Überwachungsgerät zu senden. Ein Netzwerk-Splitter, auch bekannt als Network TAP, übernimmt genau diese Aufgabe. Im Folgenden wird die Funktionsweise eines Network TAP genauer erläutert:
I. Ein Netzwerk-Tap ist ein Hardwaregerät, das eine Möglichkeit bietet, auf die Daten zuzugreifen, die über ein Computernetzwerk fließen. (aus Wikipedia)
II. ANetzwerk-AbhöreEin Netzwerk-Splitter, auch Test-Access-Port genannt, ist ein Hardwaregerät, das direkt an ein Netzwerkkabel angeschlossen wird und einen Teil der Netzwerkkommunikation an andere Geräte weiterleitet. Netzwerk-Splitter werden häufig in Systemen zur Erkennung von Netzwerkangriffen (IPS), Netzwerkdetektoren und Profilern eingesetzt. Die Replikation der Kommunikation an Netzwerkgeräte erfolgt heutzutage typischerweise über einen Switching-Port-Analyzer (Span-Port), auch bekannt als Port-Mirroring in der Netzwerktechnik.
III. Netzwerk-Taps dienen der Einrichtung permanenter Zugriffspunkte für die passive Überwachung. Ein Tap (Test-Zugriffspunkt) kann zwischen beliebigen Netzwerkgeräten wie Switches, Routern und Firewalls eingerichtet werden. Er kann als Zugriffspunkt für Überwachungsgeräte zur Erfassung von Inline-Daten fungieren, darunter Intrusion-Detection-Systeme (IDS), Intrusion-Prevention-Systeme (IPS) im passiven Modus, Protokollanalysatoren und Fernüberwachungstools. (Quelle: NetOptics)
Aus den drei obigen Definitionen lassen sich im Wesentlichen mehrere Merkmale von Network TAP ableiten: Hardware, Inline, transparent
Hier ein Überblick über diese Funktionen:
1. Es handelt sich um eine unabhängige Hardwarekomponente, die daher keine Auswirkungen auf die Auslastung bestehender Netzwerkgeräte hat, was gegenüber der Portspiegelung große Vorteile bietet.
2. Es handelt sich um ein Inline-Gerät. Vereinfacht gesagt, muss es mit dem Netzwerk verbunden werden, was verständlich ist. Dies birgt jedoch auch den Nachteil, dass eine potenzielle Fehlerquelle entsteht. Da es sich um ein Online-Gerät handelt, muss das bestehende Netzwerk je nach Einsatzort zum Zeitpunkt der Installation unterbrochen werden.
3. Transparent bezieht sich auf den Zeiger auf das aktuelle Netzwerk. Nach dem Shunt hat das Zugangsnetzwerk keine Auswirkungen auf das bestehende Netzwerk für alle Geräte; es ist für sie vollständig transparent. Natürlich beinhaltet der Shunt auch den Netzwerkverkehr, der an Überwachungsgeräte gesendet wird. Das Überwachungsgerät ist für das Netzwerk transparent; es ist, als ob Sie einen neuen Zugang zu einer neuen Steckdose hätten. Für andere, bereits vorhandene Geräte passiert nichts, selbst wenn Sie das Gerät schließlich entfernen und sich plötzlich an das Gedicht erinnern: „Schwing mit dem Ärmel und nicht mit einer Wolke“ …
Viele kennen Portspiegelung. Ja, Portspiegelung kann denselben Effekt erzielen. Hier ein Vergleich zwischen Netzwerk-Taps/Divertern und Portspiegelung:
1. Da der Port des Switches selbst einige fehlerhafte Pakete und Pakete mit zu geringer Größe herausfiltert, kann Port-Mirroring nicht garantieren, dass der gesamte Datenverkehr erfasst wird. Der Switch gewährleistet jedoch die Datenintegrität, da die Daten auf der physikalischen Schicht vollständig kopiert werden.
2. Hinsichtlich der Echtzeitleistung kann es bei einigen Low-End-Switches durch Portspiegelung zu Verzögerungen kommen, wenn der Datenverkehr auf die Spiegelungsports kopiert wird. Auch beim Kopieren von 10/100-Mbit/s-Ports auf GIGA-Ports treten Verzögerungen auf.
3. Portspiegelung erfordert, dass die Bandbreite eines gespiegelten Ports größer oder gleich der Summe der Bandbreiten aller gespiegelten Ports ist. Diese Anforderung wird jedoch möglicherweise nicht von allen Switches erfüllt.
4. Die Portspiegelung muss auf dem Switch konfiguriert werden. Sobald die zu überwachenden Bereiche angepasst werden müssen, muss der Switch neu konfiguriert werden.
Veröffentlichungsdatum: 05.08.2022
